Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’arrivo di ToxicPanda: Un nuovo trojan bancario dall’Asia minaccia l’Europa e l’America Latina

Sandro Sana : 9 Novembre 2024 17:13

Nel panorama della sicurezza informatica, l’apparizione di nuovi malware bancari rappresenta una sfida crescente per istituzioni finanziarie, aziende e utenti. Recentemente, Cleafy Labs ha scoperto ToxicPanda, un trojan bancario Android originario dell’Asia, che ha raggiunto anche Europa e America Latina. Questo malware è progettato per sottrarre informazioni sensibili e compiere transazioni bancarie non autorizzate, rappresentando una grave minaccia per i dispositivi infetti.

Cos’è ToxicPanda?

ToxicPanda è un trojan bancario progettato per colpire dispositivi Android. La sua principale finalità è eseguire trasferimenti di denaro non autorizzati attraverso tecniche di Account Takeover (ATO) e On-Device Fraud (ODF). Queste metodologie consentono al malware di aggirare le misure di autenticazione e verifica dell’identità implementate dalle banche, sfruttando le vulnerabilità presenti nei dispositivi compromessi.

Modalità di diffusione

Il malware si diffonde principalmente tramite applicazioni fraudolente che gli utenti scaricano inconsapevolmente da fonti non ufficiali o attraverso tecniche di side-loading supportate da campagne di social engineering. Una volta installato, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, monitorare le attività dell’utente e intercettare dati sensibili.

Caratteristiche tecniche

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Secondo l’analisi di Cleafy, ToxicPanda è ancora in una fase iniziale di sviluppo, con alcune funzionalità non completamente implementate. Nonostante ciò, il malware presenta diverse capacità avanzate:

  • Abuso dei servizi di accessibilità: ToxicPanda sfrutta questi servizi per ottenere permessi elevati, manipolare input dell’utente e catturare dati da altre applicazioni, rendendolo particolarmente efficace nel colpire app bancarie.
  • Capacità di controllo remoto: Il malware consente agli attaccanti di controllare da remoto il dispositivo infetto, permettendo l’esecuzione di transazioni e la modifica delle impostazioni dell’account senza che l’utente ne sia consapevole.
  • Intercettazione di OTP: ToxicPanda può intercettare password monouso inviate via SMS o generate da app di autenticazione, consentendo ai cybercriminali di bypassare l’autenticazione a due fattori e autorizzare transazioni fraudolente.
  • Tecniche di offuscamento: Il malware utilizza metodi di offuscamento per evitare il rilevamento, rendendo difficile l’analisi da parte dei ricercatori di sicurezza.

Caratteristiche e Funzionalità Tecniche di ToxicPanda

Dall’analisi del codice di ToxicPanda, emergono diverse caratteristiche avanzate che evidenziano la complessità del malware:

  1. Manipolazione delle Informazioni Utente
    Il codice mostra che ToxicPanda utilizza JSON per estrarre informazioni dettagliate sulle applicazioni e sui dati degli utenti (come pkg, clz, text e note). Questi elementi vengono analizzati per raccogliere dati che potrebbero essere utili agli attaccanti, come le credenziali di login. Inoltre, il malware verifica la presenza di specifici elementi (“myself”) per adattarsi al contesto del dispositivo compromesso.
  2. Intercettazione e Cattura di Immagini
    ToxicPanda implementa una funzionalità di raccolta immagini, che potrebbe essere utilizzata per accedere a screenshot o foto archiviate sul dispositivo. Il malware crea un oggetto JSON in cui aggiunge vari metadati, come deviceId e toAdmin, associati a ciascuna immagine. Le immagini sono convertite in base64 e trasmesse al server di controllo, rendendo più facile per gli attaccanti raccogliere prove visive di attività sensibili.
  3. Configurazione di Rete e Parametri di Log
    Il malware include parametri di configurazione per stabilire connessioni di rete con un server di comando e controllo. Porta e indirizzo DNS sono specificati nel codice, così come la modalità di log (impostata a “debug”). Questo setup permette agli operatori di ToxicPanda di monitorare l’attività del malware e apportare modifiche dinamiche al suo comportamento.
  4. Comandi di Controllo Remoto
    ToxicPanda può eseguire una varietà di comandi remoti, tra cui restartSc, screen_relay, sendAlert, e setCam, che indicano la capacità del malware di scattare screenshot, riavviare servizi e attivare la fotocamera del dispositivo compromesso. Questi comandi vengono gestiti con un sistema a etichette (goto label_), che facilita il controllo di azioni multiple e permette di adattare le operazioni in base alle necessità degli attaccanti.
  5. Comunicazione con Domini di Controllo
    Un’altra sezione del codice rivela che il malware comunica con vari domini (dksu.top, mixcom.one, freebasic.cn), utilizzati probabilmente come server di comando e controllo per inviare e ricevere istruzioni. Questa scelta di domini suggerisce un’infrastruttura flessibile, che permette agli attaccanti di gestire più campagne o di passare facilmente da un server all’altro in caso di necessità.

Rischio e Diffusione del Malware

ToxicPanda è attualmente attivo in diversi paesi europei e latinoamericani, con oltre 1.500 dispositivi infetti. La sua capacità di intercettare dati sensibili, catturare immagini e comunicare con un server di controllo rende questo malware particolarmente pericoloso, soprattutto per i paesi con infrastrutture bancarie digitali avanzate come l’Italia.

Misure di Protezione

Di fronte a minacce sofisticate come ToxicPanda, è essenziale adottare misure di sicurezza rigorose:

  1. Installare app solo da fonti affidabili come Google Play Store.
  2. Aggiornare regolarmente il dispositivo e le app per assicurarsi che tutte le vulnerabilità siano risolte.
  3. Utilizzare antivirus e firewall per monitorare l’attività sospetta.
  4. Prestare attenzione alle autorizzazioni richieste dalle app, in particolare quelle che coinvolgono accesso ai servizi di accessibilità, alla fotocamera o alla galleria.

Conclusione

ToxicPanda rappresenta un altro esempio di come i malware bancari continuino ad evolversi per sfruttare vulnerabilità dei dispositivi Android. Gli utenti e le aziende devono rimanere vigili e adottare misure preventive per contrastare queste minacce. La protezione dei dati sensibili non è mai stata così critica, e il caso di ToxicPanda ne è un ulteriore promemoria.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...